Normales Thema File cert verification failure bei KB4504418 (Gelesen: 1403 mal)
Deniz Özmen
WSUS Neuling
Offline


I love WSUS!

Beiträge: 4
Mitglied seit: 11.07.19
File cert verification failure bei KB4504418
11.07.19 um 20:01:25
Beitrag drucken  
Hallo allerseits,

ich stehe gerade vor einem irritierenden Problem, zu dem vielleicht jemand hier einen Lösungsansatz hat:

Auf einem Windows 2008 R2 Standard Server mit WSUS 3.2.7600.307 scheitert immer wieder der Download von zwei bestimmten Dateien. Der Server selbst ist in Hinblick auf den Updatestand aktuell; .NET 3.5.1 ist installiert; als Datenbank kommt die WID zum Einsatz.

Die problematischen Dateien sind zwei Schnellinstallationsarchive zu KB4504418 (Servicing Stack Update für Windows 8.1, Server 2012, und Server 2012 R2), wie anhand der Ereignisanzeige ersichtlich ist:

Inhaltdateisynchronisierung ist fehlgeschlagen. Ursache: File cert verification failure. Quelldatei: /c/msdownload/update/software/secu/2019/07/windows8-rt-kb4504418-x86_cbfca28e203
c05cf0d8bf6e8c56d81c9bd170789.psf Zieldatei: c:\WSUS\WsusContent\89\CBFCA28E203C05CF0D8BF6E8C56D81C9BD170789.psf.

Inhaltdateisynchronisierung ist fehlgeschlagen. Ursache: File cert verification failure. Quelldatei: /c/msdownload/update/software/secu/2019/07/windows8-rt-kb4504418-x64_7fc2ec35606
f12f6065408850962706ebd9c9816.psf Zieldatei: c:\WSUS\WsusContent\16\7FC2EC35606F12F6065408850962706EBD9C9816.psf.


Eine genauere Analyse bspw. der x86-Datei ergibt folgendes:

  • Ein manueller Download der Datei windows8-rt-kb4504418-x86_cbfca28e203c05cf0d8bf6e8c56d81c9bd170789.psf funktioniert grundsätzlich.
  • Der SHA1-Hash dieser Datei paßt sowohl zum Dateinamen als auch zum FileDigest aus tbFile.
  • Der SHA256-Hash der Datei sollte laut tbFileHash 0x52A3560EB5DB626E0CF52894CBB41D09B360C0310FF9692DE867FB2F2F3C7DFA sein. Im SoftwareDistribution.log findet sich folgendes:


[...]
2019-07-11 04:34:31.281 UTC      Info      WsusService.12      ContentSyncAgent.WakeUpWorkerThreadProc      Processing Item: 316170c4-97ec-4dbc-9364-17b6832294f3, State: 10
2019-07-11 04:34:31.921 UTC      Info      WsusService.12      ContentSyncAgent.VerifyCRC      calculated sha2 sha256 hash is 52A3560EB5DB626E0CF52894CBB41D09B360C0310FF9692DE867FB2F2F3C7DFA
2019-07-11 04:34:31.936 UTC      Info      WsusService.12      CabUtilities.CheckCertificateSignature      File cert verification failed for c:\WSUS\WsusContent\89\CBFCA28E203C05CF0D8BF6E8C56D81C9BD170789.psf with 2148098064
2019-07-11 04:34:31.983 UTC      Warning      WsusService.12      ContentSyncAgent.WakeUpWorkerThreadProc      Invalid file deleted: c:\WSUS\WsusContent\89\CBFCA28E203C05CF0D8BF6E8C56D81C9BD170789.psf
[...]


Laut SHA256-Wert scheint also auch der Server die Datei unbeschadet herunterladen zu können. Das und die Tatsache, daß andere Dateien (auch bspw. die ausschließlich mittels SHA256 signierten CAB-Dateien zu KB4504418) nicht beanstandet werden, läßt mich zunächst vermuten, daß kein SHA2/SHA256-Konfigurationsproblem vorliegt. Als nächstes würde ich gerne von Hand die digitalen Signaturen der Dateien prüfen, habe allerdings bisher noch nicht herausgefunden, wie. Bei CAB-Dateien ist das ja auch problemlos mit Bordmitteln möglich, aber bei PSF-Dateien scheinen der Explorer oder auch Tools wie SigCheck die Signatur nicht zu erkennen.

Hat jemand eine Idee oder ist eventuell auf das gleiche Problem gestoßen?
  
Zum Seitenanfang
 
Deniz Özmen
WSUS Neuling
Offline


I love WSUS!

Beiträge: 4
Mitglied seit: 11.07.19
Re: File cert verification failure bei KB4504418
Antwort #1 - 13.07.19 um 17:41:40
Beitrag drucken  
Zusatzhinweis: Das Problem läßt sich auf einem frisch zu diesem Testzweck aufgesetzten Server, in dem nur vier Updates genehmigt wurden, reproduzieren. Ich habe die Frage auch unter (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). im TechNet-Forum gestellt.
  
Zum Seitenanfang
 
Deniz Özmen
WSUS Neuling
Offline


I love WSUS!

Beiträge: 4
Mitglied seit: 11.07.19
Re: File cert verification failure bei KB4504418
Antwort #2 - 17.07.19 um 19:42:41
Beitrag drucken  
Nur als kleines Update zum (vorläufigen) Endstand: Es sieht so aus, als sei eine veraltete Psfsip.dll im System32-Verzeichnis schuld an dem beobachteten Problem. Sie sorgt dafür, daß SHA256-basierte Signaturen von PSF-Dateien grundsätzlich als ungültig erkannt werden.

Ersetzt man diese Datei testweise durch ihr Pendant aus einem Server 2012-System, werden die Signaturen anerkannt und WSUS lädt die Dateien wieder korrekt herunter.

Ob es sich hierbei nun um ein Einzelfall-Installationsproblem handelt, oder ob die Erneuerung der Psfsip.dll grundsätzlich vergessen wurde, ist mir nicht klar. Vor dem Hintergrund des Supportendes der betroffenen Plattform erwarte ich allerdings auch keine offizielle Aussage dazu.
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 14453
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: File cert verification failure bei KB4504418
Antwort #3 - 18.07.19 um 10:28:56
Beitrag drucken  
Vielen Dank für die Rückmeldung bisher. Zwinkernd
  
Zum Seitenanfang
 
Deniz Özmen
WSUS Neuling
Offline


I love WSUS!

Beiträge: 4
Mitglied seit: 11.07.19
Re: File cert verification failure bei KB4504418
Antwort #4 - 10.09.19 um 10:38:45
Beitrag drucken  
Nun das hoffentlich allerletzte Update zu diesem unnötigen Thema. Zwinkernd

Microsoft hat sich des Problems offenbar doch angenommen und eine neue Version von KB4484071 veröffentlicht. Nach der Installation hat WSUS die Versionsnummer 3.2.7600.324, und wie zu erwarten war bringt diese eine aktualisierte Psfsip.dll mit (s. "Known issues"-Sektion im KB-Artikel).

SHA256-Signaturen in PSF-Dateien können über den Explorer nun verifiziert werden. Der Server wird heute abend das nächste mal synchronisiert, aber ich gehe davon aus, daß auch das nun funktionieren wird.
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 14453
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: File cert verification failure bei KB4504418
Antwort #5 - 10.09.19 um 12:33:31
Beitrag drucken  
Super! Freut mich sehr für dich und vielen Dank für deine Rückmeldung! Smiley
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden